ITパスポート 2012年 秋期 問62
問題文
無線LANの通信は電波で行われるため、適切なセキュリティ対策が欠かせない。無線LANのセキュリティ対策のうち、無線LANアクセスポイントで行うセキュリティ対策ではないものはどれか。
選択肢
ア:MACアドレスによるフィルタリングを設定する。
イ:通信内容に暗号化を施す。
ウ:パーソナルファイアウォールを導入する。(正解)
エ:無線LANのESSIDのステルス化を行う。
🔒 解説は解答すると表示されます
無線LANのセキュリティ対策でアクセスポイント(AP)で行う対策ではないものを選べ【ITパスポート 解説】
正解の理由
ウの「パーソナルファイアウォールを導入する。」は、無線LANアクセスポイント(AP)で実施する対策ではありません。
パーソナルファイアウォール(personal firewall:個々の端末に入れるソフトまたは機能で、端末ごとに外部からの通信を制御するもの)は、各パソコンやスマホなどのクライアント側(端末側)で導入・設定するものです。
一方、他の選択肢(MACアドレスフィルタリング、暗号化、ESSIDのステルス化)はAP側で設定できる機能またはAPが関わる設定です。
パーソナルファイアウォール(personal firewall:個々の端末に入れるソフトまたは機能で、端末ごとに外部からの通信を制御するもの)は、各パソコンやスマホなどのクライアント側(端末側)で導入・設定するものです。
一方、他の選択肢(MACアドレスフィルタリング、暗号化、ESSIDのステルス化)はAP側で設定できる機能またはAPが関わる設定です。
解法ステップ
- 問題文を確認:対象は「無線LANアクセスポイントで行うセキュリティ対策」かどうか。
- 各選択肢が「APの設定で行う」ものか「端末側で行う」ものかを判断する。
- APで設定できない(=端末側で行う)ものを選ぶ。
→ パーソナルファイアウォールは端末に導入するため、APでは行わない。
選択肢別の誤答解説
-
ア: MACアドレスによるフィルタリングを設定する。
- 正しい行為(APで設定できる)。
- MACアドレス(Media Access Control address:ネットワーク機器ごとに割り当てられる識別子)を許可/拒否リストにして接続を制限します。APの多くにこの機能があります。
-
イ: 通信内容に暗号化を施す。
- 正しい行為(APで設定する)。
- 暗号化とは通信データを第三者に読まれないようにする処理です。無線LANではWPA2/WPA3(Wi‑Fi Protected Access)などの方式をAP側で有効にします。APと端末の両方で対応している必要があります。
-
ウ: パーソナルファイアウォールを導入する。
- 誤り(APで行う対策ではない)。
- パーソナルファイアウォールはホスト型ファイアウォール(host-based firewall:端末ごとの防御)であり、各端末にインストールして設定します。APはネットワーク機器なので「端末個別のパーソナルファイアウォール」を代わりに導入できません(APにもネットワークファイアウォール機能があることはありますが、それは別物です)。
-
エ: 無線LANのESSIDのステルス化を行う。
- 正しい行為(APで設定できる)。
- ESSID(Extended Service Set Identifier / SSID:ネットワーク名)を外部にブロードキャストしないようにする設定で、AP側で行います(ただし効果は限定的です)。
よくある誤解
-
「ESSIDのステルス化で完全に安全になる」
- 実際はステルス化(SSIDブロードキャスト停止)は隠しリストのような効果しかなく、電波を解析すればネットワーク名は容易に見つかります。真の防御ではありません。
-
「MACフィルタリングは強力な防御」
- MACアドレスは偽装(スプーフィング)可能です。MACフィルタは障害物としての役割はありますが、単独での安全確保には不十分です。
-
「APにファイアウォールがあれば端末のファイアウォールは不要」
- ネットワーク型ファイアウォール(AP/ルータ側)とホスト型(端末側)は役割が異なります。両方を適切に設定することが望ましいです。
補足コラム
安全な無線LANの実務的な対策(優先順位):
- WPA3 または WPA2(AES)による強い暗号化を有効にする。WEPは古く脆弱なので使わない。
- 強く長いパスフレーズ(パスワード)を設定する。推測されにくいものを。
- APと端末のソフト(ファームウェア、OS)の定期更新を行う。脆弱性修正のため重要です。
- 端末ごとにパーソナルファイアウォールと最新のウイルス対策を導入する。
- 必要に応じてゲスト用SSIDを分離して業務ネットワークと分ける(セグメンテーション)。
企業環境では、さらに 802.1X(認証サーバを用いた個別認証)やVPN(Virtual Private Network:公衆網を使う際の暗号トンネル)を使うことが多いです。
FAQ
Q1: APにもファイアウォール機能はありませんか?
A1: あります。AP/ルータにはネットワーク型ファイアウォール(パケットフィルタなど)が備わることが多いです。ただし「パーソナルファイアウォール」は個々の端末に入れるものを指します。問題文は「パーソナル」を明示しているため端末で行う対策です。
A1: あります。AP/ルータにはネットワーク型ファイアウォール(パケットフィルタなど)が備わることが多いです。ただし「パーソナルファイアウォール」は個々の端末に入れるものを指します。問題文は「パーソナル」を明示しているため端末で行う対策です。
Q2: ステルス化(SSID非公開)はやった方が良いですか?
A2: 目に見える抑止効果はありますが、セキュリティ効果は限定的です。暗号化(WPA2/WPA3)や強いパスワードの方が重要です。
A2: 目に見える抑止効果はありますが、セキュリティ効果は限定的です。暗号化(WPA2/WPA3)や強いパスワードの方が重要です。
Q3: MACフィルタリングだけで十分ですか?
A3: 不十分です。MAC偽装が可能なため、暗号化・認証・端末側の対策と組み合わせる必要があります。
A3: 不十分です。MAC偽装が可能なため、暗号化・認証・端末側の対策と組み合わせる必要があります。
関連キーワード: 無線LAN、WPA2、WPA3、SSID、ESSID、MACアドレス、フィルタリング、暗号化、ファイアウォール、ステルス化、802.1X、VPN

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

